セキュリティ人材の需要は本当にあるのか?
現在のセキュリティ人材育成を取り巻く環境は、冒頭でも述べたように“セキュリティ人材ブーム”と言って良いものだろう。しかしながら、セキュリティ人材のあるべき姿を具現化するというよりは、ITベンダー側の打算の産物という傾向の方が強いことは現時点では否めない。
セキュリティ対策製品では、ファイアウォールのように設置後ほとんど運用を必要としない“壁”での防御から、不正侵入検知/防御(IDS/IPS)や次世代型ファイアウォールのような検知とその後の対応が必要な機器への移行が始まってすでに10年以上が経過している。それでもなお、現場に本来必要なセキュリティ人材が存在しない状況が続いており、それらの機器は対応されないアラートと検知ログをただ出力し続けている。これでは本来あるべきセキュリティ対策がなされているとは口が裂けても言えないはずだ。
こうなってしまった原因は、企業の経営者が「あくまでセキュリティ対策要員はコストでしかない」と考えていることにあるだろう。このままでは、ITベンダーがいくら多くのコストをかけてセキュリティ人材を育成しても、その高価な(高コストな)セキュリティ人材をユーザー企業が受け入れることは難しいと言わざるを得ない。
企業経営者には、絶対にその認識を改めてもらわなければならない。そのためには、セキュリティ対策を本来あるべき姿に戻す必要がある。本来あるべき姿とは、ユーザー企業自身がセキュリティ対策をシステム部門任せにせず、「守りきること」を経営課題として認識し、対応することだ。そのためには、まず守るべきものが何かを定め、守るためにはどのようにすれば良いかを考え、その組織内で責任を持ってセキュリティ要件を定めることが必要だ。
それを実現するためには、現在のような“情報システム部門の下請けのようなセキュリティ担当”という位置付けではその実現は到底無理だろう。経営に直結した組織として、情報システムを含めた企業経営にまつわるリスク全体を管理する別の組織を作らなければならない。このような組織が総務や経理、営業部門などと同じように企業の中核として存在することが当たり前にならならなければ、本当の意味でセキュリティ人材の需要は生まれないだろう。
今のままでは、セキュリティ人材を有効活用できるような組織は、ほとんど存在しないという状況が続くと言わざるを得ない。いくらセキュリティ人材が足りないと政府機関などが声高に吹聴しても、そこにお金を出す企業はそれほど多くはないからだ。このままでは「人材を育成できないし、人材を活用する場もない」という、泣きっ面に蜂のような状況に陥ってしまう。これらを要約すると一般にはキャリアデザインと呼ばれる分野の課題となる。しかし、(ベンダーの希望的観測を含めた)想定ニーズと現実がこれほど乖離(かいり)していては、その議論も雲消霧散してしまうだろう。
この状況を打破するためには、「セキュリティ人材が実戦経験を積む場を公的機関などが増やすこと」と「経営層がセキュリティ対策を組織的課題として認識」して組織変革することの双方が必須だ。この2つを何らかの形でクリアしない限り、ITベンダーはもちろんユーザー企業にも幸せが訪れることは無いだろう。
次回は、このようなセキュリティ対策に携わる人々が、(本当に実現できるかはさて置き)本来目標とすべき良い意味での“セキュリティ人材の末路”を述べていく。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。
